这是一个创建于 496 天前的主题,其中的信息可能已经有所发展或是发生改变。
据观察 ipv6 好像都是公网地址,基于此和诸位探讨下使用 ipv6 有什么风险?
众所周知 http/https 协议管控比较严格,有些开发者为了省事直接在[::]上跑 http ,这样开了 v6 后会不会被断网,我记得之前是有人因 pcdn 被断网
内部众多端口暴露在公网上会不会有安全风险?该注意些什么?
对于隐私保护是不是更糟糕?之前我直连电信光猫上网,在电信 app 居然能看到我使用几台设备上网,吓得我赶紧接个路由器
众所周知 http/https 协议管控比较严格,有些开发者为了省事直接在[::]上跑 http ,这样开了 v6 后会不会被断网,我记得之前是有人因 pcdn 被断网
内部众多端口暴露在公网上会不会有安全风险?该注意些什么?
对于隐私保护是不是更糟糕?之前我直连电信光猫上网,在电信 app 居然能看到我使用几台设备上网,吓得我赶紧接个路由器
第 1 条附言 · 2023-06-29 10:01:08 +08:00
在电信 app 上看到我机器时用的是 ipv4 ,光猫上能看到我信息很正常,但 app 上能看到说明电信在收集我个人信息,这让我感觉到很害怕
第 2 条附言 · 2023-06-29 15:29:29 +08:00
很多人好像对隐私和安全都无感
给运营商交钱是让我联网,我没有让他们管理我的网络,况且他们 app 还没有管理能力,v4 时代还好,只有运营商知道,v6 时代会不会全网都知道
至于安全问题,对咱们来说可能是小事,一个 nat 解决大部分问题,对于普通用户来说家里的一个小设备可能会导致整个家庭网络变肉鸡,别指望挣快钱小厂商和毫无安全意识的用户能把安全做多好
最让人不安的是政策风险,只听说不能开服务,是部分服务不能开还是全部服务不能开?要是全部服务不能开开这个 v6 毫无意义,也没有个公开的规则来讲明白
给运营商交钱是让我联网,我没有让他们管理我的网络,况且他们 app 还没有管理能力,v4 时代还好,只有运营商知道,v6 时代会不会全网都知道
至于安全问题,对咱们来说可能是小事,一个 nat 解决大部分问题,对于普通用户来说家里的一个小设备可能会导致整个家庭网络变肉鸡,别指望挣快钱小厂商和毫无安全意识的用户能把安全做多好
最让人不安的是政策风险,只听说不能开服务,是部分服务不能开还是全部服务不能开?要是全部服务不能开开这个 v6 毫无意义,也没有个公开的规则来讲明白
 |
1
renfei 2023-06-28 15:02:07 +08:00
ipv6 是直连,直通的,如果没有防火墙,可以说直接在公网上裸奔
至于 http/https ,80 和 443 端口家用宽带是不通的 |
 |
2
tril 2023-06-28 15:02:07 +08:00
1 和 2:不会。正常的路由器(比如 openwrt )默认会禁用 IPv6 入站,包括设备自己也有防火墙,只要不手贱去关掉,默认都不会允许外部访问本机开的服务,甚至局域网内的设备都无法访问其他设备开的端口。
3 、相比 IPv4 也许是糟糕了一点,但你举的例子和 IPv6 没有关系。没接自己的路由器的情况下,光猫就是你家局域网的 DHCP 服务器和路由器,电信 app 就相当于远程管理光猫的软件,当然能看到下面有多少台设备。你用手机打开你自己的路由器后台,不也能看到路由器下面有几台设备? |
 |
3
ppbaozi 2023-06-28 15:33:22 +08:00
adsl 时代几乎所有家宽都是公网 ip 直接到电脑,也没遇到过啥事。
|
 |
4
MeteorVIP 2023-06-28 15:51:21 +08:00
http://[2409:8a5c:2e02:a844:3500:60da:c345:95c]
我个人觉得没有风险,大佬可以尝试攻破我的路由器,毕竟我除了路由器没有别的服务器.攻破了 at 我. 对了,我们村 ipv6 可以用 80 端口.大佬们试试能不能访问?我用流量可以访问. |
 |
5
SenLief 2023-06-28 15:52:48 +08:00
不用常用端口问题不大吧
|
|
6
renfei 2023-06-28 16:15:39 +08:00  5
@MeteorVIP #4
这位来自广西桂林叠彩区中国移动 的网友对外提供这些服务 53/tcp domain Cloudflare public DNS 80/tcp http nginx 1.25.0 443/tcp ssl/http nginx 1.25.0 举报一下,你的宽带就得停了,openwrt 的登录爆破需要时间 |
 |
7
JeffGe 2023-06-28 16:22:17 +08:00 via Android
你不能把 IPv4 的 NAT 当做防火墙啊,普通用户用默认配置别乱改,专业用户自己配置好防火墙
|
 |
9
totoro625 2023-06-28 16:27:54 +08:00 via Android 1
对于知道 ipv6 的人,风险比较大,因为他们会主动关闭防火墙,更容易被攻击
对于不知道 ipv6 的人,没任何大于 ipv4 的风险 |
 |
11
szzys 2023-06-28 16:34:49 +08:00
@weiqk 用 ipv6 等于没有 nat 了。你可以理解为你所有的终端获取的都是公网 IP ,外面直接可以通过这个 ipv6 地址访问到你终端设备。当然你可以在你的网关上做安全策略或者 ACL ,防止未经授权的访问。
|
 |
12
adoal 2023-06-28 16:37:02 +08:00
我的路由器默认是对 IPv6 (包括用 PD 送进 LAN 里的网段)启用防火墙规则的,需要对外放开啥端口要自己配置。当然,IPv4 也是默认启用,就像#7 说的,防火墙和 NAT 是两回事。
|
 |
13
hefish 2023-06-28 16:38:15 +08:00
地址本身没有风险吧,风险在于打开的端口和运行的服务和相关的防火墙及系统的安全策略。
|
 |
14
Yugr 2023-06-28 16:46:00 +08:00
@MeteorVIP #4 打开了是 openwrt 的登录页面。 我在家里弄了个 nas ,也是用的 ipv6 。挺方便,不用像 ipv4 一样头疼公网 ip
|
 |
15
weiqk OP |
 |
16
z836454898 2023-06-28 17:00:02 +08:00
你新增一个防火墙规则,阻止所有的入站请求,然后优先级设置为最高,就没有端口暴露了
|
 |
17
shwnpol 2023-06-28 17:38:44 +08:00
v6 以后个人家宽可能也就只能拿来做 nas 的 webui 了
|
|
20
MeteorVIP 2023-06-28 19:08:56 +08:00 via iPhone
@renfei #19 别别,除了 80 ,没想到 443 和 53 也能访问。我都不知道。所以 ipv6 对普通人来说是危险的
|
|
21
MeteorVIP 2023-06-28 20:02:31 +08:00
路由器感受到了来至"北京市 海淀区 联通"用户的关爱,负载从 0 飙升到 1.2
|
 |
22
erfesq 2023-06-28 20:18:50 +08:00
用 openvpn 或者 wireguard 回去就好,我跑了一些服务没啥事
|
 |
23
abc8678 2023-06-28 20:34:23 +08:00 via Android
电信光猫,超级管理账号密码进去,大概找了一下,没找到入站之类的选项。只好用软路由拨号
|
 |
24
ericww 2023-06-28 20:55:31 +08:00 via iPhone
windows 有防火墙,linux 有防火墙,macos 有防火墙,freebsd 有防火墙,所以直连又如何?
|
|
25
weiqk OP |
|
26
MeteorVIP 2023-06-28 23:18:39 +08:00 via iPhone
还有“上海市 崇明区 联通”网友的关爱 ai🥳
|
 |
27
yyzh 2023-06-28 23:28:31 +08:00 via Android
支持楼上反渗透一波
|
|
28
weiqk OP 突然想到有些软件厂商检测到 http 探测会友情提醒不是 http ,这又是坑
|
 |
29
dode 2023-06-29 02:09:29 +08:00 via Android
不会的操作系统的 ipv6 地址不是一个点,而是一个段,操作系统默认会用一个临时 IP 点来访问外部服务,这个 IP 不能反向直接访问你局域网开机的服务,同时还有一个临时公网 IP 点可以对外提供公网直接访问服务,
|
|
30
dode 2023-06-29 02:16:33 +08:00 via Android
@renfei 没有备案怎么可以开启出来 80 服务,Web 服务可以用域名判断隐藏,怎么点的 9 没有备案
|
 |
31
dcsuibian 2023-06-29 02:26:07 +08:00
你连电信光猫上网,那你的电信光猫不就是充当家用路由器的角色了么,当然能看到你有几台设备上网,跟 ipv6 有啥关系?
|
 |
33
niubiman 2023-06-29 08:26:06 +08:00
最大风险是 ipv6 时能用时不能用
|
 |
34
Jirajine 2023-06-29 08:55:38 +08:00
@dode 怎么不能,只要你监听了::,那就能被反向访问。
以 ipv6 地址的复杂性再加上动态前缀,指定地址监听是很麻烦的事。 |
 |
35
mmm159357456 2023-06-29 09:05:51 +08:00
风险当然是绕美、绕欧啦
|
 |
36
8355 2023-06-29 10:10:35 +08:00
在电信 app 上看到我机器时用的是 ipv4 ,光猫上能看到我信息很正常,但 app 上能看到说明电信在收集我个人信息,这让我感觉到很害怕??????
你用的宽带账号他们不就是联网的嘛 你怕啥。。。。。 |
 |
37
yzc27 2023-06-29 10:11:48 +08:00 via iPhone
@tril 用的 linksys 路由,看到里面有 IPv6 SPI firewall protection 打开着。想问下大佬,这是不是意味着路由器上已经打开着对于 ipv6 的防火墙了?
|
|
39
tril 2023-06-29 10:42:30 +08:00
楼主这么害怕的话那就让你多害怕一点,很多家用路由器和网管交换机都可以在 app 上管理以及查看设备连接情况,和电信的 APP 一样的道理。运营商的 APP 里甚至可以自助查询你在几点到几点使用流量访问了哪个网站。以上功能均不需要 IPv6 支持。^_^
|
 |
40
busier 2023-06-29 10:44:06 +08:00
你都在大陆了 还有什么好矫情的 正常用就是了!
|
 |
41
acbot 2023-06-29 11:02:24 +08:00
安全问题,不论是操作系统还是运营商早就考虑过了,在这个层面根本不需要你担心,比如:有风险的端口,协议运营商就给你封了,操作系统都带防火墙基本的安全防护都没有问题,隐私扩展也是打开的等等! 大多数安全问题是除在了用户自身这个层面,比如:无脑直接关闭系统防火墙,无脑开放端口,无脑安装了带木马的程序等!端口开放是否安全完全是你服务本身是否安全,是否有漏洞与端口开放本身没有多大关系。
至于运营商获取用户内网设备信息这个是基操,与是否 v6 没有关系。 |
 |
42
Frankcox 2023-06-29 11:02:42 +08:00
有点好奇啊,我记得之前看到说 IPv6 的地址也是会隔一段时间换一下?使用对外服务还需要 DDns ?这块我不是很清楚,不知道有没有大佬解释下。
|
 |
43
dude4 2023-06-29 14:34:33 +08:00
@Frankcox 大部分是随 V4 重新拨号一起刷新的,现在 V4 公网 IP 稀少,有些地方如果你享受 V4 公网,V4 地址重拨不会变,但是 V6 还没听说过不变的,毕竟分给你的 /64 段理论上都能分配几兆兆个地址了……
|
|
44
Frankcox 2023-06-29 17:35:31 +08:00
@dude4 谢谢,那我这样理解是不是现在即使关了防火墙也没法实现利用 IPv6 获取稳定的公网 IP (不考虑向运营商申请这种情况)?
|
|
45
dode 2023-06-29 19:02:00 +08:00
|
|
46
dode 2023-06-29 19:08:11 +08:00 1
[禁用临时 IPv6 地址 how to diable Temporary IPv6 Address]
https://www.51-n.com/t-4593-1-1.html https://blog.csdn.net/sinat_20184565/article/details/114292301 [RFC 4864 《 IPv6 的本地网络保护》] https://www.ipv6-cn.com/references/RFCs/RFC4864.html 一句话总结本 RFC:NAT 不是安全措施! IPv4 + NAT 给你带来的好处,IPv6 环境下不仅能实现,而且效果更好更安全。 临时 IPv6 地址用于保护用户隐私,通常在启用 IPv6 后,会自动分配两个 IPv6 公网地址,一个临时 IPv6 地址,一个固定 IPv6 地址。IPv6 临时网址有效期较短,一定时间后会自动换成其他临时 IPv6 地址,而 IPv6 固定地址会保持不变,对于不同的运营商,有可能固定 IPv6 地址也会被收回重新分配。当使用 IPv6 连接外网时,暴露给公网的是 IPv6 地址是临时 IPv6 地址。设备不停变更临时 IPv6 地址可以有效防止外网攻击。 |
|
47
Jirajine 2023-06-29 19:17:50 +08:00
@dode 你没理解我在说什么。只要你暴露了监听::的服务,又没有专门配置防火墙,别管什么临时还是长期地址都能访问到。
以及 ipv4+nat 最大的好处是 stable address 和对外不透明(比如你的运营商紧禁止热点)。共享地址本身也有一定的隐私保护作用。 |
 |
49
cnbatch 2023-06-29 23:01:03 +08:00 2
在 IPv4 网络不要以为只有运营商能知道地址,一样可以全网都知道,哪怕没有公网 IP 。
如果关注过 V 站的这个节点的话,就该知道 PCDN 玩家一点都不少,他们照样可以在没有公网 IPv4 的情况下玩出花,通过 NAT1 打洞让用户连过来。 还有某些视频网站及其 App ,在检测到用户正在使用家宽时,直接把用户设备临时变成 PCDN: /t/745365 /t/774680 有 NAT 都没用,厂商们偷偷地就把用户 IP 泄露出去了。要是厂商们愿意,还真能做到“全网都知道你的 IPv4 地址”。 于是在“全网都知道你的 IP 地址”这方面,IPv4 和 IPv6 扯平了。 在 IPv6 的情况下,各种设备的防火墙默认阻挡来自外部的主动入站连接,至少可以做到 NAT1 的效果(只有出过站的端口才全盘放行),严格的话可以做成 NAT3 的效果(只有自己连接过的机器才可以跟自己通信)。 为了保险起见,运营商们甚至早就在光猫那里开启了 IPv6 防火墙,不管你设备防火墙怎么设置,都一律阻止主动入站。 V 站就有现成案例: /t/701004 /t/808068 /t/825486 既然那么多 V 站用户都注意到这种情况,那么应该是大多数光猫都已经这样配置了。 这么一操作,也就只有非小白的群体才会主动关掉 IPv6 防火墙。 至于政策风险什么的,无论 IPv4 还是 IPv6 都是一视同仁,实际上没区别。 |
 |
51
TerryRobles 2023-06-30 09:56:45 +08:00
我觉得风险比 ipv4 小
ipv6 有 临时 IPv6 地址 和你本机不一致 |
|
52
TerryRobles 2023-06-30 10:00:43 +08:00
@dode 我老家的 ipv6 就开放的,之前开起来扫过一次。
|
 |
53
garibellee 2023-06-30 10:26:50 +08:00
@kuaner 加 1 我这里之前就是能用的快半年 低调点
|
|
54
dude4 2023-06-30 10:56:56 +08:00
@Frankcox 想啥呢,固定 IP 都是商宽标配,V4 家宽固定 IP 是地址不够而已,大部分地区就算有公网 V4 ,地址其实还是变动的,只是 IP 段就那几个而已
你需要的是 DDNS 解析。 |
 |
56
spediacn 2023-06-30 20:31:32 +08:00 via iPhone
v6 恐怖的其实是机顶盒电视机智能音箱啥的,没有任何防护措施的。
|
|
57
spediacn 2023-06-30 20:32:18 +08:00 via iPhone
反而电脑要好点,默认开了个防火墙,入站协议默认都关了
|
 |
59
lin559671 2023-07-02 00:30:51 +08:00 via Android
我来晚了,扫不到了
|
|
60
yzc27 2023-07-08 15:06:15 +08:00 via iPhone
@tril 大佬,再想问下,假如路由器开了 ipv6 防火墙,那么是不是意味着这个路由器下面的设备都处于被它保护的状态?刚刚刷到 V2EX 之前有人说路由器有 ipv6 防火墙也只是保护路由器自身,它下面的设备还是“裸奔”。
|
Select Language